Rechtliches · octobooking.com
Auftragsverarbeitungsvertrag
Version 1.2 · Gültig ab 30. Juni 2026
Dieser Auftragsverarbeitungsvertrag („AVV“) wird zwischen dir (dem „Verantwortlichen“) und Octobooking, ein Beta-Dienst betrieben von Tomas Bardhi („Auftragsverarbeiter“) geschlossen und ist Bestandteil der Nutzungsbedingungen. Er regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Artikel 28 der Verordnung (EU) 2016/679 („DSGVO“).
1. Parteien
Verantwortlicher: die natürliche oder juristische Person, die diesen AVV durch Erstellung eines Betriebs auf octobooking.com akzeptiert hat. Als Betriebsinhaber bestimmst du die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten deiner Kunden.
Auftragsverarbeiter: Octobooking, ein Beta-Dienst betrieben von Tomas Bardhi, der die Plattform unter octobooking.com betreibt. Der Auftragsverarbeiter handelt ausschließlich nach den dokumentierten Weisungen des Verantwortlichen und bestimmt den Zweck einer Verarbeitung nicht eigenständig.
2. Gegenstand und Dauer
Der Auftragsverarbeiter stellt eine cloudbasierte Termin- und Buchungsverwaltungsplattform bereit, die es dem Verantwortlichen ermöglicht, Buchungen, Kunden, Personalpläne und damit verbundene Betriebsdaten zu verwalten.
Octobooking ist ein Planungswerkzeug. Es wickelt keine Zahlungen im Auftrag des Verantwortlichen ab, stellt keine Rechnungen oder Steuerdokumente aus und ist mit keiner Steuerbehörde verbunden.
Die Verarbeitung beginnt mit der Annahme dieses AVV und dauert an, solange der Verantwortliche ein aktives Konto unterhält. Die Beendigung richtet sich nach Abschnitt 8.
3. Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung des Dienstes, was umfasst:
- Erstellung und Verwaltung von Kundenbuchungsdaten im Auftrag des Verantwortlichen;
- Versand transaktionaler Benachrichtigungen — Bestätigungen, Erinnerungen und Stornierungen — an Endkunden per E-Mail und/oder SMS;
- Bereitstellung von Werkzeugen für Kundenverwaltung, Personalplanung und Reporting an den Verantwortlichen;
- Aufbewahrung anonymisierter Betriebsdaten nach Kontolöschung (siehe Abschnitt 8).
Der Auftragsverarbeiter verwendet personenbezogene Daten nicht für eigene Zwecke, für Werbung oder für andere als die oben genannten Zwecke.
4. Kategorien personenbezogener Daten und betroffene Personen
Betroffene Personen: Endkunden des Betriebs des Verantwortlichen (Personen, die Buchungen vornehmen oder erhalten) sowie Mitarbeiter des Verantwortlichen (in Buchungsdaten verwendete Namen).
Verarbeitete Datenkategorien:
- Identität: Vorname, Nachname;
- Kontakt: E-Mail-Adresse, Telefonnummer;
- Buchung: Termindaten und -zeiten, Leistungsname, Mitarbeiter, Notizen;
- Betrieblich: Zahlungsstatus (bezahlt/unbezahlt), Leistungspreis (nur zur Referenz — keine Rechnungsstellung);
- Technisch: IP-Adresse (nur Ratenbegrenzung und Sicherheit), Sitzungs-Token (Authentifizierung).
5. Pflichten des Auftragsverarbeiters (Art. 28(3) DSGVO)
Der Auftragsverarbeiter verpflichtet sich:
- personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, auch bei internationalen Übermittlungen, sofern nicht durch Unionsrecht oder das Recht eines Mitgliedstaats anders vorgeschrieben;
- sicherzustellen, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind;
- dem Risiko angemessene technische und organisatorische Maßnahmen umzusetzen (Art. 32 DSGVO) — siehe Abschnitt 9;
- Unterauftragsverarbeiter nur gemäß Abschnitt 6 unter gleichwertigen Datenschutzpflichten einzusetzen;
- den Verantwortlichen bei der Beantwortung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Übertragbarkeit) nach Kapitel III DSGVO zu unterstützen;
- den Verantwortlichen unverzüglich — spätestens innerhalb von 48 Stunden — nach Kenntnis einer Verletzung des Schutzes personenbezogener Daten, die die Daten des Verantwortlichen betrifft, zu benachrichtigen. Die Benachrichtigung umfasst: (a) die Art der Verletzung und die ungefähre Zahl betroffener Personen und Datensätze; (b) die wahrscheinlichen Folgen; (c) ergriffene oder vorgeschlagene Maßnahmen. Dies ermöglicht es dem Verantwortlichen, seine eigene Pflicht zur Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden nach Art. 33 DSGVO zu beurteilen;
- die zur Nachweisführung erforderlichen Informationen bereitzustellen und Audits oder Überprüfungen durch den Verantwortlichen oder einen beauftragten Prüfer zu ermöglichen;
- auf Verlangen des Verantwortlichen alle personenbezogenen Daten am Ende des Dienstverhältnisses zu löschen oder zurückzugeben, vorbehaltlich Abschnitt 8.
6. Unterauftragsverarbeiter
Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zum Einsatz der nachstehend aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter wird den Verantwortlichen über geplante Änderungen informieren und ihm eine angemessene Möglichkeit zum Widerspruch geben.
| Anbieter | Zweck | Standort / Grundlage |
|---|---|---|
| Vercel Inc. | Anwendungs-Hosting & CDN | USA — SVK |
| Neon Inc. | PostgreSQL-Datenbank | EU (Frankfurt) |
| Resend Inc. | Transaktionale E-Mails | USA — SVK |
| Twilio Inc. | Transaktionale SMS; OTP-Versand und -Verifizierung (Twilio Verify); Telefonnummern-Risikoprofilierung (Twilio Lookup V2) | USA — SVK |
| Cloudflare Inc. | Bot- und Betrugsprävention (Turnstile — verarbeitet IP-Adresse und Browsersignale bei der Registrierung) | USA — SVK |
| Upstash Inc. | Verteilte Ratenbegrenzung (vorübergehende Speicherung von IP-Adressen und Telefonnummern, max. 10 Minuten, zur Vermeidung von SMS-Missbrauch) | USA — SVK |
| UploadThing (Ping Labs Inc.) | Bild- und Dateispeicherung | Singapur — SVK |
| OpenFreeMap | Kartenkacheln auf der öffentlichen Buchungsseite (erhält die IP-Adresse des Besuchers; nur bei funktionaler Einwilligung geladen) | EU (Deutschland) |
SVK = Standardvertragsklauseln, Kommissionsbeschluss 2021/914/EU (Art. 46(2)(c) DSGVO).
7. Internationale Datenübermittlungen
Personenbezogene Daten werden in der EU gespeichert (Neon, Frankfurt). Einige Unterauftragsverarbeiter haben ihren Sitz außerhalb des EWR — in den USA und, für die Bildspeicherung (UploadThing), in Singapur. Übermittlungen an diese erfolgen auf Grundlage der Standardvertragsklauseln (Kommissionsbeschluss 2021/914/EU), ergänzt durch Verschlüsselung bei der Übertragung (TLS) und im Ruhezustand.
8. Speicherung und Löschung von Daten
Wenn eine betroffene Person ihr Recht auf Löschung (Art. 17 DSGVO) ausübt oder ein Konto des Verantwortlichen geschlossen wird, wendet der Auftragsverarbeiter folgendes Verfahren an:
- Persönliche Identifikatoren werden sofort gelöscht: Name, E-Mail-Adresse, Telefonnummer und etwaige Freitextnotizen werden mit anonymen Platzhaltern überschrieben. Das Authentifizierungskonto wird gelöscht.
- Anonymisierte Buchungshüllen werden aufbewahrt für einen angemessenen betrieblichen Zeitraum (bis zu 2 Jahre nach der letzten Buchung). Sie enthalten keine persönlichen Identifikatoren — nur Daten, Leistungsnamen und Preisangaben — und dienen dem berechtigten Interesse des Verantwortlichen an der Führung seiner Betriebshistorie (Art. 17(3)(e) und Art. 6(1)(f) DSGVO). Danach werden sie endgültig gelöscht.
Diese App ist ein Planungswerkzeug. Sie erstellt keine Rechnungen, ist nicht mit Steuerbehörden verbunden und führt keine Buchhaltungsunterlagen. Es erfolgt keine Aufbewahrung auf Grundlage von Steuer- oder Abgabenrecht.
9. Technische und organisatorische Maßnahmen
Maßnahmen gemäß Art. 32 DSGVO:
- Alle Daten bei der Übertragung werden mit TLS 1.2 oder höher verschlüsselt;
- Ruhende Daten werden vom Datenbankanbieter verschlüsselt (AES-256);
- Der Zugriff auf Produktionssysteme erfordert MFA und ist auf autorisiertes Personal beschränkt;
- Die Authentifizierung erfolgt durch eine eigens entwickelte Bibliothek mit Ratenbegrenzung, IP-Sperrung und Telefon-OTP-Verifizierung;
- Personenbezogene Daten werden bei Kontolöschung pseudonymisiert (Ghosting-Verfahren, Abschnitt 8);
- Abhängigkeiten werden regelmäßig auf Sicherheitslücken überprüft.
10. Pflichten des Verantwortlichen
Als Verantwortlicher bist du verantwortlich für:
- die Festlegung einer Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten deiner Kunden (in der Regel Art. 6(1)(b) DSGVO — Vertragserfüllung — für die Buchungsverwaltung);
- die Bereitstellung einer Datenschutzerklärung an deine Kunden mit den nach Art. 13 DSGVO erforderlichen Informationen sowie die Offenlegung, dass Octobooking als Auftragsverarbeiter eingesetzt wird;
- Besondere Datenkategorien: keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO — z. B. Gesundheitsangaben) in Freitextnotizen einzugeben, sofern du keine gültige Rechtsgrundlage nach Art. 9 hast. Für etwaige derartige Daten, die du eingibst, bleibst du allein verantwortlich;
- die Bearbeitung von Betroffenenanfragen deiner eigenen Kunden und gegebenenfalls die Weitergabe relevanter Anfragen an den Auftragsverarbeiter;
- die Sicherstellung, dass Mitarbeiter mit Plattformzugriff ihre Datenschutzpflichten verstehen.
11. Aktualisierungen dieses AVV
Der Auftragsverarbeiter kann diesen AVV aktualisieren, um Änderungen in Recht, Technik oder Dienst widerzuspiegeln. Wesentliche Änderungen werden mindestens 30 Tage vor Inkrafttreten mitgeteilt. Die fortgesetzte Nutzung des Dienstes nach dem Wirksamkeitsdatum gilt als Annahme. Die aktuelle Versionsnummer und das Wirksamkeitsdatum sind oben auf dieser Seite angegeben.
12. Anwendbares Recht
Dieser AVV unterliegt dem Unionsrecht, insbesondere der DSGVO, sowie, soweit anwendbar, dem nationalen Umsetzungsrecht des Mitgliedstaats, in dem der Verantwortliche niedergelassen ist. Streitigkeiten werden den zuständigen Gerichten der Gerichtsbarkeit des Verantwortlichen vorgelegt.
Kontakt
Datenschutzanfragen: privacy@octobooking.com